CyberKing2k
Aktives Mitglied
- Mitglied seit
- 5 Jun 2004
- Beiträge
- 1,037
- Punkte für Reaktionen
- 0
- Punkte
- 36
Datensicherheit bei simply connect
- Ersteller paulipaul
- Erstellt am
- Status
TinTin
Aktives Mitglied
- Mitglied seit
- 6 Mai 2004
- Beiträge
- 1,864
- Punkte für Reaktionen
- 0
- Punkte
- 0
der_Gersthofer schrieb:
Und die Vorgehensweise von Paulipaul hätte so aussehen können/sollen:
1) SC auffordern obiges innerhalb einer Woche zu tun
2) Nur wenn dies nicht geschieht erwägen es zu veröffentlichen, dann aber ohne genaue Beschreibung wie man das googled
Gruß,
Tin
Ok, fragt sich nur warum ich keine Mail bekommen habe obwohl ich Betatester war und meine Zugangsdaten ebenfalls online sind! Ich werde dort zwar nur als "Testuser" aufgeführt aber meine Dus.net und Sipgate Daten liegen da trozdem rum.
Scheinbar gibt es wohl von einigen Testusern keine Daten mehr, oder warum erhalte ich keine Mail?
@Opilein:
Das mit den 40 unterschiedlichen Accounts von dir ist heftig. Nur bei mir kam es zu einer Nutzung der Daten durch dritte. Das ist nicht okay, Es waren bei Dus.net zwar damals nur 5 cent weil ich es bemerkt habe, aber es hätte schlimmer kommen können. Erst jetzt weis ich aber wo die Lücke war, daher bin ich verägert. Vor allem weil SC das schon wusste. Ich werde SC zwar noch weiter nutzen, aber die Daten von drittanbietern fliegen da raus!
Scheinbar gibt es wohl von einigen Testusern keine Daten mehr, oder warum erhalte ich keine Mail?
@Opilein:
Das mit den 40 unterschiedlichen Accounts von dir ist heftig. Nur bei mir kam es zu einer Nutzung der Daten durch dritte. Das ist nicht okay, Es waren bei Dus.net zwar damals nur 5 cent weil ich es bemerkt habe, aber es hätte schlimmer kommen können. Erst jetzt weis ich aber wo die Lücke war, daher bin ich verägert. Vor allem weil SC das schon wusste. Ich werde SC zwar noch weiter nutzen, aber die Daten von drittanbietern fliegen da raus!
Rovin
Mitglied
- Mitglied seit
- 8 Jan 2005
- Beiträge
- 343
- Punkte für Reaktionen
- 0
- Punkte
- 0
Was meint der Betreiber von "nicht mehr aktuell"? Wer ändert ohne Aufforderung regelmässig seine Passwörter? Ich bin froh, dass ich nicht betroffen wurde, weil wenn, wären meine Passwörter immer noch aktuell, weil ich es ja gar nicht gewußt hätte, dass es einen Sicherheitsleck gab. Das ist nämlich das, was die User hier mit Recht bemängeln: der Anbieter hätte sofort betroffene Kunden per Email informieren sollen. Wenn er jetzt sagt: na und - das ist schon 6 Monate her - das zählt einfach nicht, weil die Passwörter immer noch die selben sind.markbeu schrieb:
RudatNet
IPPF-Urgestein
- Mitglied seit
- 25 Jan 2005
- Beiträge
- 15,065
- Punkte für Reaktionen
- 0
- Punkte
- 36
Ja, und genau das ist es auch, was einige hier nicht verstehen! 
Wenn da jetzt auch noch eines meiner Standard-Passwörter bei gewesen wäre,
dann hätte ich wesentlich mehr zu tun gehabt, als nur die 5 Accounts zu ändern!
Wenn da jetzt auch noch eines meiner Standard-Passwörter bei gewesen wäre,
dann hätte ich wesentlich mehr zu tun gehabt, als nur die 5 Accounts zu ändern!
simply-connect.de
VOIP-Provider
- Mitglied seit
- 20 Jun 2005
- Beiträge
- 316
- Punkte für Reaktionen
- 0
- Punkte
- 0
Kunden die keine Mail bekommen haben, haben wohl auch Ihre Mailadresse nciht angegeben. Nicht alle Beta-Tester haben Ihre Mailadresse eingetragen.
Die betroffenen Seiten wurden nun auch durch Google entfernt.
Respekt an den Verfasser dieses Threads, diese Zugangsdaten für Hunderte von Usern offen zu legen, sehr mutig....
Die betroffenen Seiten wurden nun auch durch Google entfernt.
Respekt an den Verfasser dieses Threads, diese Zugangsdaten für Hunderte von Usern offen zu legen, sehr mutig....
Zuletzt bearbeitet:
@simply-connect.de
Den letzten Satz hättet ihr euch m.E. sparen können. Die Zugangsdaten lagen deswegen offen - und das schon seit 6 Monaten - weil ihr nicht weitsichtig genug schon damals reagiert habt. Der Verfasser dieses Threads hat euch sogar zuvor angeschrieben und ihr habt ihn mit dem lapidaren Hinweis, das sei schon vor 6 Monaten abgestellt worden, "vertröstet".
Jeder der damals dieses Problem mitbekommen hat, hätte somit seit 6 Monaten die fremden Zugangsdaten nutzen können und kann sie auch weiterhin nutzen. Wenn hier nicht noch einmal ausdrücklich auf dieses Problem hingewiesen worden wärt, hätten das viele gar nicht mitbekommen - denn die wirklichen Ausnutzer dieses eures Fehlers wären wohl kaum so nett gewesen, euch darüber zu informieren und nach eurer nichtssagenden Antwort andere User hier wohlmeinend zu warnen. Die, die schlechtes im Sinn haben, hätten einfach weiterhin die offen liegenden Zugangsdaten verwendet (was sie ja auch jetzt noch tun können!) und der Kunde hätte dann beweisen müssen, dass die Telefonate wegen eines Fehlers auf eurer Seite gar nicht von ihm geführt wurden.
Von daher finde ich es alles andere als OK, einen Fehler und ein Versäumnis auf eurer Seite nun anderen anzulasten.
Warum sperrt ihr nicht die betroffenen Accounts temporär? Jeder, der die Liste hat (egal ob gleich vor 6 Monaten eingeshen oder danach per Google Cache - und der war immerhin 6 Monate frei im Internet verfügbar), kann die Zugangsdaten auch weiterhin nutzen, sofern sie nicht jetzt geändert werden / wurden. Was ist mit den Usern, die keine Emailadresse angegeben haben? Was ist mit denen, bei denen eure Email im SPAM-Folder landet?
Daher:
1) sofortige Sperrung der betroffenen Accounts um Missbrauch vorzubeugen
2) Email an diese Kunden mit Neuaktivierungslink und dann verpflichtender Passwortänderung
Den letzten Satz hättet ihr euch m.E. sparen können. Die Zugangsdaten lagen deswegen offen - und das schon seit 6 Monaten - weil ihr nicht weitsichtig genug schon damals reagiert habt. Der Verfasser dieses Threads hat euch sogar zuvor angeschrieben und ihr habt ihn mit dem lapidaren Hinweis, das sei schon vor 6 Monaten abgestellt worden, "vertröstet".
Jeder der damals dieses Problem mitbekommen hat, hätte somit seit 6 Monaten die fremden Zugangsdaten nutzen können und kann sie auch weiterhin nutzen. Wenn hier nicht noch einmal ausdrücklich auf dieses Problem hingewiesen worden wärt, hätten das viele gar nicht mitbekommen - denn die wirklichen Ausnutzer dieses eures Fehlers wären wohl kaum so nett gewesen, euch darüber zu informieren und nach eurer nichtssagenden Antwort andere User hier wohlmeinend zu warnen. Die, die schlechtes im Sinn haben, hätten einfach weiterhin die offen liegenden Zugangsdaten verwendet (was sie ja auch jetzt noch tun können!) und der Kunde hätte dann beweisen müssen, dass die Telefonate wegen eines Fehlers auf eurer Seite gar nicht von ihm geführt wurden.
Von daher finde ich es alles andere als OK, einen Fehler und ein Versäumnis auf eurer Seite nun anderen anzulasten.
Warum sperrt ihr nicht die betroffenen Accounts temporär? Jeder, der die Liste hat (egal ob gleich vor 6 Monaten eingeshen oder danach per Google Cache - und der war immerhin 6 Monate frei im Internet verfügbar), kann die Zugangsdaten auch weiterhin nutzen, sofern sie nicht jetzt geändert werden / wurden. Was ist mit den Usern, die keine Emailadresse angegeben haben? Was ist mit denen, bei denen eure Email im SPAM-Folder landet?
Daher:
1) sofortige Sperrung der betroffenen Accounts um Missbrauch vorzubeugen
2) Email an diese Kunden mit Neuaktivierungslink und dann verpflichtender Passwortänderung
RudatNet
IPPF-Urgestein
- Mitglied seit
- 25 Jan 2005
- Beiträge
- 15,065
- Punkte für Reaktionen
- 0
- Punkte
- 36
simply-connect.de schrieb:
Sorry, aber das hättet ihr euch nun wirklich sparen können!
Respekt!
Sensible Daten 6 Monate einfach wissentlich offen im Netz zu lassen,
ohne die Kunden zu warnen bzw. selber die Accounts sicherheitshalber zu sperren!
Eigentlich solltet ihr euch bei dem Threadersteller bedanken und ihm eher etwas als Dankeschön zukommen lassen! Ein weniger freundlicher Zeitgenosse hätte
a) euch gar nicht vorab informiert
b) diese Info irgendwo in einem Cracker/Warez - Board oder dergleichen gepostet, a la: telefonieren auf fremde Kosten und dazu noch Adressdatenbank für lau.
Ich würde mir nach dieser Reaktion nämlich echt überlegen, euch zu informieren, wenn man als Dank dafür nachher auch noch angegriffen wird.
a) euch gar nicht vorab informiert
b) diese Info irgendwo in einem Cracker/Warez - Board oder dergleichen gepostet, a la: telefonieren auf fremde Kosten und dazu noch Adressdatenbank für lau.
Ich würde mir nach dieser Reaktion nämlich echt überlegen, euch zu informieren, wenn man als Dank dafür nachher auch noch angegriffen wird.
simply-connect.de
VOIP-Provider
- Mitglied seit
- 20 Jun 2005
- Beiträge
- 316
- Punkte für Reaktionen
- 0
- Punkte
- 0
Es wurde ja nicht mal Zeit eingeräumt die Sache zu klären. Als die Mail des Verfassers bei uns eintraf wussten wir nichts von dem Google Cache. Die Sache gleich nach einem Tag im Forum öffentlich zu machen, ohne Einräumung zur Bearbeitung dieser Sicherheitslücke ist wirklich nicht die Art wie man vorgeht.
In der von uns versandten Mail wurde aufgeführt, dass diese Sicherheitslücke sofort beseitigt wurde, wir jedoch, wie bereits erwähnt, nicht ahnten, dass diese Seiten bereits ergooglet wurden.
Alle User (10 Betroffene) wurden darüber informiert.
Für die Information über die Sicherheitslücke haben wir uns bereits per Mail bedankt und hatten weitere Maßnahmen zur Beseitigung der Google Einträge eingeleitet.
Fair wäre gewesen uns vorzuwarnen das zu veröffentlichen oder wie schon gepostet erst nach einer Frist zu posten.
Das hier angewandte Verhalten, die Sache ohne Ankündigung zu veröffentlichen, bedarf unserer Meinung nach keinerlei Danksagung.
Persönliche Anmerkung:
Ich hatte selbst eine enorme Sicherheitslücke eines anderen Provider aufgespürt.
Der Support wurde informiert, nach kurzer Zeit wurde die Lücke geschlossen nachdem Sie nehme ich an länger als ein halbes Jahr existierte.
Natürlich bekommt man für den Hinweis ein Dankeschön. Auch nur deshalb weil Schaden vermieden wurde.
Die Sache zu veröffentlichen hätte nicht nur vielen Usern geschadet, da sehr viel mehr Personen zugriff auf die Daten erlangt hätten (Dank ausführlicher Beschreibung wie man auf die Daten zugreift), sondern auch die Firma ruiniert.
Deshalb kann ich das Vorgehen so nicht akzeptieren.
In der von uns versandten Mail wurde aufgeführt, dass diese Sicherheitslücke sofort beseitigt wurde, wir jedoch, wie bereits erwähnt, nicht ahnten, dass diese Seiten bereits ergooglet wurden.
Alle User (10 Betroffene) wurden darüber informiert.
Für die Information über die Sicherheitslücke haben wir uns bereits per Mail bedankt und hatten weitere Maßnahmen zur Beseitigung der Google Einträge eingeleitet.
Fair wäre gewesen uns vorzuwarnen das zu veröffentlichen oder wie schon gepostet erst nach einer Frist zu posten.
Das hier angewandte Verhalten, die Sache ohne Ankündigung zu veröffentlichen, bedarf unserer Meinung nach keinerlei Danksagung.
Persönliche Anmerkung:
Ich hatte selbst eine enorme Sicherheitslücke eines anderen Provider aufgespürt.
Der Support wurde informiert, nach kurzer Zeit wurde die Lücke geschlossen nachdem Sie nehme ich an länger als ein halbes Jahr existierte.
Natürlich bekommt man für den Hinweis ein Dankeschön. Auch nur deshalb weil Schaden vermieden wurde.
Die Sache zu veröffentlichen hätte nicht nur vielen Usern geschadet, da sehr viel mehr Personen zugriff auf die Daten erlangt hätten (Dank ausführlicher Beschreibung wie man auf die Daten zugreift), sondern auch die Firma ruiniert.
Deshalb kann ich das Vorgehen so nicht akzeptieren.
Zuletzt bearbeitet:
RudatNet
IPPF-Urgestein
- Mitglied seit
- 25 Jan 2005
- Beiträge
- 15,065
- Punkte für Reaktionen
- 0
- Punkte
- 36
Gut, dass es unterschiedliche Ansichten gibt:
Ihr habt zwar eure Sicherheitslücke geschlossen - woher wusstet ihr das eigentlich -, aber habt es nicht für nötig empfunden, irgendwelche Sicherheitsmaßnahmen für euer Beta-Tester zu ergreifen, sondern nur für euch selber!
Diesen Umgang mit sensiblen Daten kann ich nun mal leider auch nicht akzeptieren.
Ihr habt zwar eure Sicherheitslücke geschlossen - woher wusstet ihr das eigentlich -, aber habt es nicht für nötig empfunden, irgendwelche Sicherheitsmaßnahmen für euer Beta-Tester zu ergreifen, sondern nur für euch selber!
Diesen Umgang mit sensiblen Daten kann ich nun mal leider auch nicht akzeptieren.
simply-connect.de
VOIP-Provider
- Mitglied seit
- 20 Jun 2005
- Beiträge
- 316
- Punkte für Reaktionen
- 0
- Punkte
- 0
Ich weiss nicht wieso man noch auf Fehlern herumhackt die wir offen eingesehen haben (siehe Stellungnahme). Wir haben selbst eingeräumt, dass diese Art Behandlung mit ensiblen Daten nicht akzeptabel ist. Wir aber seither erhöhte Maßnahmen ergriffen haben damit dies nicht mehr vorkommt.
Durch eine Überprüfung unseres Systems ist uns damals aufgefallen, dass die Konfigrationsdaten nicht Passwortgeschützt waren. Die Seite jedoch nirgends verlinkt war und unsere Logfiles keinerlei Fremdzugriffe auf die Seite zeigten. Daher hielten wir es nicht für notwendig die Tester darauf hinzuweisen.
Aus den Fehlern haben wir allerdings gelernt
Durch eine Überprüfung unseres Systems ist uns damals aufgefallen, dass die Konfigrationsdaten nicht Passwortgeschützt waren. Die Seite jedoch nirgends verlinkt war und unsere Logfiles keinerlei Fremdzugriffe auf die Seite zeigten. Daher hielten wir es nicht für notwendig die Tester darauf hinzuweisen.
Aus den Fehlern haben wir allerdings gelernt
haeberlein
Aktives Mitglied
- Mitglied seit
- 10 Mrz 2004
- Beiträge
- 1,717
- Punkte für Reaktionen
- 0
- Punkte
- 36
Nicht aufregen Simply-Connect. Hier gibt es User ,die reiten auf allen und jeden herum. Nur wenn man Ihnen mal die Meinung sagt bekommt man Verwarnungen bzw. rote und gelbe Punkte. Habe es selbst schon erlebt. Die User die ich meine werden es schon selber wissen und sich bestimmt gleich wieder zu Wort melden. Das beste ist einfach nicht mehr darauf zu reagieren.
Ich war Testuser der ersten Stunde und bei mir ist weder ein Passwort abhanden gekommen ,noch hat jemand fremdes auf meine Kosten telefoniert.
Wenn man eine Lücke nicht kennt-dann kann man Sie auch nicht schliessen. Siehe Microsoft und Co.
Ich war Testuser der ersten Stunde und bei mir ist weder ein Passwort abhanden gekommen ,noch hat jemand fremdes auf meine Kosten telefoniert.
Wenn man eine Lücke nicht kennt-dann kann man Sie auch nicht schliessen. Siehe Microsoft und Co.
Dito. Ich lese seit einem 1/4 Jahr hier mit. Genau so alt ist auch mein Nick. Also nix feige. Nur Schleimfrei.RudatNet schrieb:
- Status
Neueste Beiträge
-
Kevag-Telekom Portfreigabe nicht wirklich möglich ?
- Letzte: Hannes_42
-
[Sammlung] Aktuelle Konditionen für DSL-Vertragsverlängerung
- Letzte: P10P11P12
-
[Frage] SNAT/Masquerading auf der Fritzbox- Letzte: chrsto
-
[Sammlung] Fritz!Box 5690Pro, Inhaus/Labor 7.90/8.xx, Pfad 'Smart24P1FCS'- Letzte: Mike-aus-Bayern
-
Fritz Boxen per POE versorgen?- Letzte: Grisu_
